Wurm infiziert PCs ohne Öffnen des Anhangs

Verschieden Virenschutzunternehmen, darunter Norman Data Defense, warnen vor einem Virus in einer HTML-Mail, der bekannte Sicherheitslöcher im Internet Explorer 5 und Outlook von Microsoft (Börse Frankfurt: MSG) ausnutzt. Der Wurm W32/Blebla@mm.Worm könne sich ohne das Anklicken des Attachments verbreiten.

Der laut dem McAfee AVERT (Anti-Virus Emergency Response Team) gestern in Polen erstmals gesichtete Wurm bestehe aus zwei verschiedenen Dateien: MyJuliet.chm und MyRomeo.exe. Beide sind als reguläre E-Mail Attachments in der E-Mail enthalten. Wird die Mail unter Outlook geöffnet, speichern sich diese Dateien im Temp-Ordner auf der Festplatte. Die MyJuliet.chm Datei läuft sofort ab und startet die MyRomeo.exe Datei. MyRomeo.exe ist eine reguläre Win32 „.exe“-Datei, in Delphi geschrieben und mit dem bekannten Kompressor UPX komprimiert. Einmal gestartet greift sie auf das Microsoft Outlook
Adressbuch zu und verschickt sich selbst an alle Adressen.

Die infizierte E-Mail hat eine der folgenden zwölf Betreffzeilen:

• Romeo&Juliet
• ::))))))
• hello world
• !??!?!?
• subject
• ble bla, bee
• I Love You ;)
• sorry…
• Hey you !
• Matrix has you…
• my picture
• ‚from shake-beer

Um sich vor dem Wurm zu schützen genügt es aber, den eigenen Rechner mit verschiedenen seit Monaten erhältlichen Patches von Microsoft zu bestücken: Benötigt werden der Patch gegen den Malformed E-Mail Header, das Outlook 2000 SR-1 Update sowie gegebenenfalls der Exchange 5.5 Information Store Patch 5.5.2652.42.

Kontakt:
Network Associates, Tel.: 089/37070
Norman Data Defense, Tel.: 0212/267180